研究人员发现「高通骁龙」芯片存在大量漏洞，市场上近一半智能手机受影响

著名的安全公司 Check Point 的最新研究发现：高通公司的骁龙芯片的数字信号处理器（DSP）芯片中存在 400 多个漏洞，如果被利用，黑客可能会控制超过四成的智能手机。通过利用这些漏洞，黑客可以通过智能手机监视用户，使用户的手机不响应，并制造出无法移除、且能逃过杀毒软件检测的恶意软件。

Check Point 在今年二、三月时已经向高通报告了这些漏洞，而高通也在七月开发了修复补丁。在 OEM 厂商把补丁推送出之前，Check Point 没有公开这些漏洞的具体技术细节。

DSP 是用于许多消费类设备（包括电视和智能手机）中的音频信号和数字图像处理。虽然 DSP 芯片为使用的设备带来了许多新功能，但它们也引入了新的弱点并扩大了设备的被攻击的机会。 Check Point 发现的漏洞具在几乎所有的安卓智能手机中都能找到，包括来自谷歌、三星、小米、OPPO、vivo、一加和其他厂商的手机。

Check Point 向高通公司、芯片制造商和设备供应商披露了其发现的结果，并在 CVE 列表中分配了六个漏洞。 高通公司已经修复了影响其骁龙 DSP 芯片的六个安全漏洞，但要最终修复漏洞，智能手机制造商仍然必须向用户提供修复程序，这意味着许多无法收到安全更新的智能手机，仍然很容易受到潜在攻击。

Check Point在博客中提供了关于如何发现该公司DSP芯片中漏洞的更多见解，并指出：“由于DSP芯片具有“黑匣子”性质，移动厂商要解决这些问题非常困难，因为芯片制造商必须首先解决这些问题。使用我们的研究方法和最先进的模糊测试技术，我们能够克服这些问题，从而获得了对被测试 DSP 芯片内部的罕见理解。这使我们能够有效地审查芯片的安全控制并确定其弱点。”

考虑到高通 DSP 芯片中漏洞的严重性，建议用户在补丁或修补程序发布后，立即更新。高通公司的发言人就此事发表了以下声明：“提供支持强大安全性和隐私性的技术是高通公司的首要任务。关于 Check Point 披露的骁龙 DSP 的漏洞，我们进行了认真的工作以验证问题并为 OEM 厂商提供适当的缓解措施。我们没有证据表明它目前正在被利用。我们鼓励最终用户在补丁可用时更新其设备，并仅从受信任的位置（例如 Google Play 商店）安装应用程序。”